Security-Tools – Virenscanner Dr. Web CureNet

Antivirus-Software für Notfall-Scans und zur Client-Desinfektion

14.12.2009 | Autor / Redakteur: Johann Baumeister / Stephan Augsten

Wenn‘s mal brennt: Die Antivirus-Software Dr. Web CureNet! wurde als Notfall-Tool für Client-Infektionen konzipiert. Bild: Dr. Web
Wenn‘s mal brennt: Die Antivirus-Software Dr. Web CureNet! wurde als Notfall-Tool für Client-Infektionen konzipiert. Bild: Dr. Web

Eigenschaften und Funktionsweise von Dr. Web CureNet

Für diesen Test haben wir die aktuelle Version von CureNet von der Website des Herstellers geladen. CureNet ist sehr klein und kompakt. Die geladene exe-Datei umfasst weniger als 18 MByte und passt damit auch auf betagte USB-Sticks.

Der Grund dafür liegt in der kompakten Weise der Virenerkennung. Virenscanner arbeiten heute entweder nach dem heuristischen Modell oder mit Signaturdateien. Bei der Variante mit den Signaturdateien erstellen die Hersteller des Scanners für jeden Virus eine eigene Kennung, die Signatur.

Jeder Virus hat dabei seine eigene unverwechselbare Signatur. Diese ist immer so ausgelegt, dass sie den Virus eindeutig identifizieren kann. Um beispielsweise eine Million unterschiedlicher Viren zu erkennen werden dabei auch ebensoviele Signaturen benötigt. Dies bläht die Signaturdatei auf und damit auch die Virenscanner. Gleichzeitig dauert der Scanlauf entsprechend lange, weil dabei jede Benutzerdatei mit den Einträgen in der Signaturdatei abgeglichen werden muss.

Knapp 660.000 Fingerprint-Signaturen in wenigen MByte

Dr. Web allerdings verwendet einen globaleren Ansatz und kombiniert mehrere Methoden. Statt für jeden Virus eine eindeutige Signatur zu erstellen, verwendet Dr. Web Checksummen. Diese sind bedeutend kürzer. Eine vollständige Signatur beispielsweise wird durch einen Codestring gekennzeichnet. Die Checksumme dafür lässt sich in wenigen Bits ablegen.

Somit passen die knapp 660.000 Signaturen zusammen mit dem Code in die 18 MByte. Parallel dazu sind die Scanläufe mit heuristischen Techniken unterlegt, um die Viren zu erkennen. Durch ein Verfahren, dass als Origins Tracing bezeichnet wird, erfolgt die Suche nach prinzipiell bekannten aber leicht modifizierten Viren.

Hierbei geht man davon aus, dass die Ersteller von Computerviren oftmals auf bestehende Viren zurückgreifen und diese nur geringfügig verändern. Wenn sich dabei auch die Signatur ändert würde der Virus durch das Raster der signaturbasierten Erkennung durchfallen. Die Suche nach Origins Tracing allerdings soll ihn nach Herstellerangaben trotzdem finden.

Seite 3: Setup in unterschiedlichen Szenarien

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2042634 / Netzwerksicherheit)